デジタルアイデンティティの基本概念と最新動向解説

デジタルアイデンティティの主要構成要素:身元確認・認証・認可

  • 2023-11-30

身元確認

「身元確認」は、デジタルアイデンティティが実際の人やモノと一致するか否かを判定するための最初のプロセスです。デジタルの世界では、特にフィッシング詐欺や金融犯罪に対抗するために重要となります。

また身元確認は、新規アカウント作成や新しいサービス利用時に個人が自分であると証明するための一連の手順であり、証明された後のヒト、モノ(「エンティティ」と言います)に識別子を割り当てることを言います。

例えばマイナンバーの場合、登録住所に送付された通知カードを役所の窓口に持参し、自分であることを裏付けた上でマイナンバーカードを申請するとマイナンバー(識別子)が有効化されたり、メールの到達の確認(自分であることを証明)をもってログインID(識別子)が有効化されたりしますが、これはそのプロセスが実行されています。

身元確認を適切に実行することで、不正アクセスやなりすまし、マネー・ローンダリングといった犯罪を防ぐだけでなく、顧客の安全と信頼を確保することができるようにもなります。従来、身元確認はコンシューマ向けサービスへの適用が中心でしたが、近年はフリーランスの登用など、働き方が変化しているので、身元確認の企業内システムへの適用も予想されます。

認証

今回紹介する3要素の中で最も知名度の高いキーワードが「認証」でしょう。認証は、アクセス元を正確に識別するプロセスです。

ユーザー認証のIDとパスワードの確認がその代表例ですが、これは以下の3つのカテゴリに分けられます。

  • 知識認証(Something you know):パスワードやPINなど、ユーザーのみが知っている情報の確認
  • 所有物認証(Something you have):セキュリティトークンやスマートフォンなど、ユーザーのみが所有しているアイテムの確認
  • 生体認証(Something you are):所在地や行動など、ユーザーの特徴の確認

またユーザー認証の他に、デバイスやシステム間でも認証を行う必要があります。その中にはChallenge & Response方式という既知の情報を用いてランダムに質問を送信し、そのチャレンジに対して適切な応答(レスポンス)を返すことで認証をする方法や、Token-Based方式という認証の際にシステムから一時的に発行されるトークンを検証する方式などがあります。

認可

認証の次のステップは、「認可」です。認可は特定のリソースやサービスへのアクセスをエンティティに許可するか否かを決定するプロセスです。認証でアクセス元を識別した後は、そのアクセス元が何をできるのかを決めます。また、認可を設計する際は以下の要素を考慮する必要があります。

  • 制限と最小化
    認可は、制限(Limitation)と最小化(Minimization)を考慮することが必要です。制限とは、データの利用や処理を特定の目的や範囲に限ることを意味します。また最小化の原則は、必要最低限のデータのみを収集・保持することを推奨するものです。
  • 同意
    認可は同意(Consent)と呼ばれる行為とも関係があります。同意はデータのオーナーが自らのデータの利用や共有、分析に対して他者に許可をする行為です。

身元確認、認証、認可は全体で継続的に考える

「身元確認」「認証」「認可」は一連のプロセスであり、それぞれ個別にではなく、プロセス全体を見て整備することが重要です。また、環境変化への対応やデータ精度維持のため、継続的に管理することが求められます。

ここで、全体整備の考え方と継続管理のベストプラクティスを紹介します。

  • サービス全体整備の考え方(リスク評価と、それに応じたセキュリティレベルの確保)

    セキュリティの確保はまず、システム、サービス、業務の持つリスクを棚卸し、評価することが必要です。米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が発行する Digital Identityに関する米国政府機関の技術要件を定義したガイドラインNIST SP800-63-3※は、システム、サービス、業務が持つリスクを評価し、それに応じた適切なセキュリティ強度の具備する必要性と、具体的な内容について詳述しています。そこでは、リスクに応じて必要な保証レベル(Assurance Level)を定義し、レベルに応じて必要となる身元を確認し、認証する手段が書かれています。
    このガイドラインは米国政府機関へアクセスするための技術要件として記載されたものですが、大変参考になるため世界中で参照されています。

    ※現在改定が進められており、NIST SP800-63-4として2024年1〜3月の公開が予定されています(2023年10月時点)。
    https://www.nist.gov/identity-access-management/roadmap-nist-special-publication-800-63-4-digital-identity-guidelines

    また、「身元確認」「認証」「認可」は連携して動作するため、1つのプロセスだけを強化しても全体のセキュリティが向上するわけではありません。例えば、「認証」の手段だけを強化しても、「身元確認」のプロセスが甘ければ、その効果は限定的です。
    過去に、ある企業間のサービス連携でセキュリティ上の問題が発生した事例があります。この事例は、高リスクの取引が可能な連携にも関わらず、一方のサービスにおける身元確認の不備ともう一方の認証レベルの低さの組み合わせを悪意のある第三者に攻撃され発生しました。
    この例にあるようなことを起こさないようにするには、自社のみならずサービス全体を俯瞰してセキュアな設計を行うことが重要となります。
  • 継続管理の考え方

    環境変化への対応やデータ精度維持のため、「身元確認」「認証」「認可」はそれぞれ、一過性のアクションとしてではなく、持続的な取り組みとして認識する必要があります。
    リソースの制約や事業環境の複雑性の認識不足により見落としがちですが、企業内人事やユーザーのライフイベント、サービス内容の更新などを考慮し、継続的な監査、確認、アップデートが不可欠です。
    • 身元確認
      ライフイベント(従業員の場合は入退社、消費者向けサービスの場合は転居や本人の逝去)を考慮し、定期的に更新する必要があります。
    • 認証
      所有物認証を行う場合の認証デバイスの紛失や盗難、機種変更など、さまざまな要因を考慮し、採用している認証手段が危殆化していないかを確認することが必要です。
    • 認可
      どのリソースに対してどのようなアクセスが許可されるのか、サービス内容の変更などのアップデートがあっても、制限・最小化の原則や同意された内容に基づき、適切な状態を維持、必要に応じて更新する必要があります。

まとめ

今回は、「身元確認」「認証」「認可」を紹介しました。

サービスへのアクセスを制御するには、この3つは必須のプロセスとなります。それぞれが独立しながらも緊密に連携するので、企業はこれらの考え方を理解し、最新動向を常にアップデートし、適切に対応することが求められます。

執筆者

柴田 健久

ディレクター, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

本ページに関するお問い合わせ

関連サービス